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Abstract 



The monitoring system is designed to avoid the inconvenience associated with earlier models, which 
provided a high level of operational safety e.g. during the occurrence of a faulty function, but by immediately 
switching off offered a zero availability capacity. At least one counter (4) is used and the occurrence of a 
faulty function increases the count-state of the counter and the influence of the operating state of the MCR- 
device (2) can be carried out, in dependence on the count-state of the counter (4). 
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@ System und Verfahren zur Uberwachung einer Einrichtung zum Messen, Steuern und Regeln 

(57) Es wird ein System und ein Verfahren zur Uberwa- 
chung einer MSR-Einrichtung (2) beschrieben. Kern der 
Erfindung ist, dafS das Auftreten einer Fehlfunktion nicht 
unmittelbar dazu fuhrt, daft das Uberwachungssystem in 
einen sicheren Zustand ubergeht, sondern den Zahler- 
stand eines Zahlers (4) erhoht. Uberschreitet der Zahler- 
stand einen gewissen Wert, geht das Uberwachungssy- 
stem in den sicheren Zustand uber. 
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1 

Beschrcibung 

Stand der Technik 

[0001] Die Erfindung betrifft ein System zur Uberwa- 5 
chung eincr Einrichtung zum Messen, Stcucrn und Regeln 
(MSR-Einrichtung) nach dem Oberbegriff des Patentan- 
spruchs 1 und ein entsprechendes Verfahren nach dem Ober- 
begriff des Patentanspruchs 11. 

[0002] Bekannte Uberwachungssysteme fur MSR-Ein- to 
richtungen sehcn vor, daB bei Auftreten einer Fchlfunktion 
das System in einen sogenannten sicheren Zustand iibergeht. 
Der sichere Zustand bewirkt entweder eine Anderung des 
aktuellen Betriebszustandes der MSR-Einrichtung oder daB 
zu einem spateren Zeitpuhkt eine Anderung des Betriebszu- 15 
standes unmoglich wird. Es ist dann bei spiels wcise vorseh- 
bar, daB bei Auftreten einer Fehlfunktion die MSR-Einrich- 
tung, das von der MSR-Einrichtung gesteuerte System oder 
die MSR-Einrichtung und das gesteuerte System abgeschal- 
tet werden. 20 
[0003] Aus der DE40 04 083A1 ist ein System zur 
Steuerung und/odcr Regelung einer Brennkraftmaschine be- 
kannt. Dieses umfaGt mehrere Sensoren, welche Signale er- 
zeugen, die Betriebsparameter der Brennkraftmaschine re- 
prasentieren. Anhand dieser Signale wird eine Fehlfunkti- 25 
onserkennung durchgefuhrt. Die Fehlfunktionsuberprufung 
erfolgt innerhalb vorgegebener Teilbereiche mit einer gerin- 
geren Empfindlichkeit als auBerhalb dieser vorgegebenen 
Teilbereiche. Wird eine Fehlfunktion festgestellt kann so zu- 
nachst uberpriift werden, ob diese auf eine beeintrachtigte 30 
oder unvollstandige Signaliibertragung zuruckzufuhren ist. 
Nur wenn dies nicht der Fall ist, wird das System abgeschal- 
tet. Ein Abschaltcn des Systems bei einer Fchlfunktion eines 
der Sensoren wird auf diese Weise vermieden. 
[0004] Nachteilig bei dem beschriebenen System ist, daB 35 
bei Auftreten bestimmter Fehlfunktionen das System sofort 
abgeschaltet wird. Das bedeutet zwar eine hohe Betriebssi- 
chcrheit, aber auch cine unzureichende Vcrfiigbarkeit. 
[0005] Aufgabc der vorliegendcn Erfindung ist es daher, 
eine Vorrichtung und ein Yerfahren zur Uberwachung einer 40 
MSR-Einrichtung vorzuschlagen, welche sowohl eine aus- 
reichende Betriebssicherheit als auch eine befriedigende 
Verfiigbarkeit gewahrleisten. 

[0006] Die Aufgabc bcziiglich der Vorrichtung wird durch 
ein System nach Anspruch 1 gelost. - N 45 

[0007] Die auf das Verfahren bezogene Aufgabe wird 
durch ein Verfahren gemaB Anspruch 5 gelost. 
[0008] Vorteilhafte Ausgestaltungen der Erfindung erge- 
ben sich aus den Unteranspr lichen. 

50 

Vorteile der Erfindung 

[0009] Das erfindungsgemaBe System zur Uberwachung 
einer Einrichtung zum Messen, Steuem und Regeln weist 
eine (jberwachungsvorrichtung auf, welche die Funktions- 55 
weise der MSR-Einrichtung uberpriift. Dabei werden Fehl- 
funktionen der iiberpruften MSR-Einrichtung festgestellt. 
Die Dberwachungsvorrichtung kann auBerdem den Be- 
triebszustand der Einrichtung beeinflussen. Das System 
zeichnet sich dadurch aus, daB ein Zahlcr mil einem Zahlcr- 60 
stand vorgesehen ist, das Feststellen einer Fehlfunktion den 
Zahlerstand erhoht und die Beeinflussung des Betriebszu- 
standes der MSR-Einrichtung in Abhangigkeit vom Zahler- 
stand geschieht. 

[0010] Eine Fehlfunktion wird zwar festgestellt, fiihrt aber 65 
nicht notwendigerweise bzw. unmittelbar zu einer Beein- 
flussung des Betriebszustandes der MSR-Einrichtung, das ■ 
heiBt gegebenenfalls zum Abschalten der MSR-Einrichtung. 



Das Auftreten einer Fchlfunktion bewirkt zunachst ledig- 
lich, daB der Zahlerstand des Zahlers erhoht wird. Erst wenn 
der Zahlerstand einen gewissen vorgegebenen Wert erreicht, 
fiihrt dies zum Abschalten. Dieser Wert ist veranderbar und 
stellt die Reaktionsschwelle der "Dberwachungsvorrichtung 
dar. Der Anwendcr hat die Moglichkcit, durch Wahl der Re- 
aktionsschwelle sein System zur "Oberwachung hinsichtlich 
Betriebssicherheit und Verfiigbarkeit seinen Anforderungen 
entsprechend einzustellen. 

[0011] Bevorzugt iiberpriift die Uberwachungsvorrich- 
tung die Funktionsweisc der MSR-Einrichtung durch in re- 
gelmaBigen zeidichen Abstanden durchgefuhrte Kommuni- 
kationsvorgange. Jeder Kornmunikationsvorgang, welcher 
einen Datenaustausch zwischen Uberwachungsvorrichtung 
und MSR-Einrichtung umfaBt, ergibt entweder eine Fehl- 
funktion oder eine korrekte Funktion. Durch Wahl der zcit- 
lichen Abstandc zwischen den Kommunikationsvorgangen 
kann daher auch die Reaktionszeit des Uberwachungssy- 
stems festgesetzt werden. 

[0012] In einer bevorzugten Ausfuhrungsform bewirkt 
das Feststellen einer korrekten Funktion eine Verringerung 
des Zahlerstandes des Zahlers. Auf diese, Weise wird vcrhin- 
dert, daB sporadisch auftretende Fehlfunktionen zum Ab- 
schalten der MSR-Einrichtung fuhren, da die festgestellten 
korrekten Funktionen den Zahlerstand immer wieder verrin- 
gern. 

[0013] Von Vorteil ist es, wenn der Zahlerstand unabhan- 
gig vom Auftreten von Fehlfunktionen zu beeinflussen ist. 
Dies ist dann sinnvoll, wenn in einigen Betriebszustanden 
die vorgegebene Reaktionsschwelle zu hoch erscheint. Das 
MSR-System kann beispiels weise durch gezielte Falschin- 
formationen den Zahler der Uberwachungsvorrichtung 
knapp unterhalb der Reaktionsschwelle halten. Dieses Hal- 
ten des Zahlers wird fur die Dauer des speziellen, sicher- 
heitskritischen Betriebszustandes aufrechterhalten, Damit 
verfiigt das Uberwachungssystem durch die kurze Reakti- 
onszeit vom Auftreten eines Fehlers bis zur Reaktion der 
Dberwachungsvorrichtung uber die maximal inogliche Si- 
cherhcit. 

[0014] GemaB einer besonders bevorzugten Ausfuhrungs- 
form des erfindungsgemaBen Systems wird ein Zahlerstand 
des wenigsten einen Zahlers mit einem Schwellwert vergli- 
chen, wobei bei Erreicheh oder Uberschreiten des Schwell- 
wcrtcs ein Reset bzw. eine Fehlcrrcaktion ausgelost wird. 
Die Uberwachung eines derartigen Schwellwertes erweist 
sich in der Praxis als einfach und zuverlassig. 
[0015] ZweckmaBigerweise wird unterhalb des Schwell- 
wertes ein zweites Zahlerniveau definiert, welches der Zah- 
lerstand nicht unterschreiten darf und bei Erreichen dessen 
eine kiinstlich erzeugte Fehlfunktion in das System eingege- 
ben wird. 

[0016] Es ist in diesem Zusammenhang denkbar, die Re- 
aktionsschwelle bzw. den Schwellwert einstellbar bzw. va- 
riabel auszubilden. Mit dieser MaBnahine ist eine Anpas- 
sung an konkrete Betriebszu stande moglich. 
[0017] Auch durch Variation dieses zweiten Zahlerni- 
veaus ist eine gewiinschte Verfiigbarkeit bzw. Reaktionszeit 
des Systems flexibel einstellbar. 

[0018] Somit kann auch irn laufenden Betrieb situations- 
abhangig zwischen maximalcr Sicherheit und maximaler 
Verfiigbarkeit beliebig abgestuft gewahlt werden. 
[0019] GemaB einer besonders bevorzugten Ausfuhrungs- 
form des erfindungsgemaBen Systems ist ein der Uberwa- 
chungsvorrichtung zugeordneter erster Fehlerzahler und ein 
der zu iiberwachenden Einrichtung zugeordneter zweiter 
Fehlerzahler vorgesehen, welche periodisch zur Uberwa- 
chung des Systems iibcrpriifbar und/odcr miteinander ver- 
gleichbar sind. Durch diese MaBnahme ist es moglich, mit- 
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tcls dcs erstcn Zahlers die Funktion der zu uberwachenden 
Einrichtung, und mittels des zweiten Fehlerzahlers die 
Funktion der Uberwachungseinrichtung zu kontrollieren. 
Ein periodischer Vergleich der Zahlerstande dieser beiden 
Fehlerzahler ermoglicht feroer in einfacher Weise eine Er- 5 
kcnnung von sogenanntcn sporadischen Fehlem, wie in der 
Beschreibung weiter unten noch erlautert wird. 
[0020] In diesem Zusammenhang erweist es sich als 
zweckmaBig, daB der erste Fehlerzahler zurn Mitzahlen ei- 
nes Abbildes des Zahlerstandes des zweiten Fehlerzahlers 10 
einsetzbar ist. Mittels des crsten Fehlerzahlers ist somit der 
sogenannte Erwartungswert des zweiten Fehlerzahlers spei- 
cherbar. 

[0021] ZweckmaBigerweise ist ein dritter Fehlerzahler 
vorgesehen, welcher zum Vergleich der Zahlerstande der er- 15 
sten und zweiten Fehlerzahler dient. 

[0022] Das erfindungsgemaBc Verfahren nach dein Ober- 
begriff des Anspruchs 1 1 sieht vor, daB ein Zahler verwen- 
det wird, dessen Zahlerstand beirn Feststellen von Fehlfunk- 
tionen erhoht wird und daB die Beeinflussung des Betriebs- 20 
zustandes der iiberwachten Einrichtung in Abbangigkeit 
vom Zahlerstand durchgefuhrt wird. 

[0023] Bevorzugt wird die Funktionsweise der MSR-Ein- 
richtung durch in regelmaBigen zeitlichen Abstanden durch- 
gefuhrte Kommunikationsvorgange ausgefuhrt. Jeder Kom- 25 
munikationsvorgang ergibt entweder eine Fehlfunktion oder 
eine korrekte Funktion. 

[0024] Von Vorteil ist es, wenn eine korrekte Funktion 
durch eine Verringerung des Zahlerstandes des Zahlers regi- 
striert wird. Somit ist sichergestellt, daB auch sporadisch 30 
auftretende Fehlfunktionen nicht zu einer Beeinflussung des 
Betriebszustandes der MSR-Einrichtung fiihren. 
[0025] Vorteilhafterweise kann der Zahlerstand unabhan- 
gig vom Auftreten von Fehlfunktionen beeinfluBt werden. 
So kann die Reaktionszeit des Uberwachungssystems im 35 
laufenden Betrieb aktuellen Anforderungen angepaBt wer- 
den. 



Zeichnungcn 



40 



[0026] Die vorliegende Erfindung wird anhand der beige- 
filgten zwei Zeichnung naher erlautert. In dieser zeigt bzw. 
zeigen 

[0027] Fig. 1 eine schematischer Darstcllung einer bcvor- 
zugten Ausfuhrungsform des erfindungsgemaBen t)berwa- 45 
chungssystems, 

[0028] Fig. 2 ein Diagramm zur Erlauterung einer bevor- 
zugten Ausfuhrungsform des erfindungsgemaBen Verfah- 
rens, 

[0029] Fig. 3 eine der Fig. 1 entsprechende Darstellung 50 
einer weiteren bevorzugten Ausfuhrungsform des erfin- 
dungsgemaBen Uberwachungssystems, wobei hier auf die 
(schematische) Darstellung der Brennkraftmaschine ver- 
zjchtet ist, 

[0030] Fig. 4, 5 Diagramme zur Erlauterung eines mogli- 55 
chen zeidichen Ablaufs des erfindungsgemaBen Verfahrens. 
[0031] Fig. 1 zeigt in schematischer Darstellung eine be- 
vorzugte Ausfuhrungsform des erfindungsgemaBen Uber- 
wachungssystems im Einsatz. Zu erkennen ist eine Brenn- 
kraftmaschine 1, cine Einrichtung 2 zum Messen, Sleuem 60 
und Regeln (MSR-Einrichtung), eine tjberwachungsvor- 
richtung 3 und ein Zahler 4. 

[0032] Die Brennkraftmaschine 1 wird mit Hilfe der 
MSR-Einrichtung 2 gesteuert. Die MSR-Einrichtung 2 wie- 
derum wird von der Obcrwachungsvorrichtung 3 Liber- 65 
wacht. Diese Uberwachung erfolgt durch Kommunikations- 
vorgange zwischen der Uberwachungsvorrichtung 3 und der 
MSR-Einrichtung 2. Wird eine Fehlfunktion festgestellt, er- 



hoht sich der Zahlerstand des Zahlers 4. Wird eine korrekte 
Funktion registriert, verringert sich der Zahlerstand. Sob aid 
der Zahlerstand einen gewissen Wert erreicht, nimmt die 
Uberwachungsvorrichtung 3 einen sicheren Zustand ein. 
Dies hat zur Folge, daB die MSR-Einrichtung 2 und gegebe- 
nenfalls auch die Brennkraftmaschine 1 abgeschaltct wer- 
den. 

[0033] Fig. 2 verdeutlicht in einem Diagramm den Ablauf 
einer bevorzugten Ausfuhrungsform des erfindungsgema- 
Ben Verfahrens. Die romischen Ziffern in der Zeichnung ge- 
bcn den Zahlerstand wieder. 

[0034] Im Zustand 5 ist der Zahlerstand I. Nach einer ge- 
wissen Zeitspanne erfolgt ein Kommunikationsvorgang 
zwischen der Uberwachungsvorrichtung 3 und der MSR- 
Einrichtung 2. Wird hierbei eine Fehlfunktion festgestellt, 
erhoht sich der Zahlerstand auf II, wie in Zustand 6 dargc- 
stellt. Wiederum nach einer gewissen Zeitspanne erfolgt ein 
weiterer Kommunikationsvorgang. Wird eine Fehlfunktion 
festgestellt, erhoht sich der Zahlerstand auf III, Zustand 7. 
Andernfalls verringert sich der Zahlerstand auf I, dies ent- 
spricht Zustand 5. Betragt der Zahlerstand m, entsprechend 
Zustand 7, bewirkt das Feststellen einer korrekten Funktion 
die Verringerung des Zahlerstandes auf II, Zustand 6. Wird 
in Zustand 7 eine Fehlfunktion festgestellt, erhoht sich der 
Zahlerstand auf IV, dies entspricht Zustand 8. In Zustand 8 
erfolgt erneut ein Kommunikationsvorgang. Wird bei die- 
sem eine korrekte Funktion ermittelt, verringert sich der 
Zahlerstand auf HI, Zustand 1. Wird in Zustand 8 eine Fehl- 
funktion festgestellt, erhoht sich der Zahlerstand auf V, ent- 
sprechend Zustand 9. Dieser Zahlerstand bewirkt, daB das 
Uberwachungssystem 3 den sicheren Zustand einnimmt. 
Dies hat zur Folge, daB die MSR-Einrichtung 2 und die 
Brennkraftmaschine 1 abgeschaltct werden. Der Zahler- 
stand V stellt somit fur das dargestellte Ausfiihrungsbei- 
spiels die Reaktionsschwelle des Uberwachungssystems 
dar. 

[0035] Das erfindungsgemaBe System bzw. das erfin- 
dungsgemaBc Verfahren sind gcmaB einer weiteren bevor- 
zugten Ausfuhrungsform mit einer Anzahl von kooperiercn- 
den Fehlerzahlern realisierbar. Dies sei im folgenden anhand 
eines Funktionsrechner-Uberwachungsmoduls unter Einsatz 
von drei Fehlerzahlern beschrieben: Ein erster Fehlerzahler 
4 ist in dem Uberwachungsmodul 3 einer MSR-Einrichtung 
(Funktionsrechner) 2 vorgesehen. Ein zweiter Fehlerzahler 
14, welcher eine Kopie des Fehlerzahlers 4 ist, ist in der 
MSR-Einrichtung 2 vorgesehen. Die Aufgabe des Fehler- 
zahlers 4 besteht darin, falsche Antworten der MSR-Ein- 
richtung 2 zu zahlen. Der Fehlerzahler 14 in der MS R- Ein- 
richtung 2 dient dazu, den erwarteten Wert des Fehlerzahlers 
4 zu speichern. ZweckmaBigerweise ist ein weiterer Fehler- 
zahler 24 in der MSR-Einrichtung vorgesehen, welcher Un- 
stimmigkeiten zwischen den Zahlem 4 und 14 zahlt. 
[0036] Fur die Zahler ist bei spiels weise die folgende Stra- 
tegic anwendbar: Es sei beispielhaft davon ausgegangen, 
daB bei Erreichen eines Zahlwertes von 13 durch den Feh- 
lerzahler 4 eine Beeinflussung des Betriebszustandes der 
MSR-Einrichtung 2 bewirkt wird. Im folgenden sei beispiel- 
haft von einem Reset ausgegangen. Gestartet wird beispiels- 
weise mit einem Start-Zahlerstand von 11, um eine Aktivie- 
rung einer defekten MSR-Einrichtung nach der Initialisie- 
rung zu verhindern. Trifft eine richtige Antwort beispiels- 
weise von der MSR-Einrichtung 2 in dem Fehlerzahler 4 
ein, wird dessen Zahlerstand um 1 erniedrigt (dies geschieht 
stets im Falle einer richtigen Antwort, sofern der Zahler- 
stand groBer 0 ist)- Wird cine falsche Antwort crkannt, wer- 
den drei Fehlerpunkte addiert. Fur den Fall, daB ein Zahler- 
stand groBer oder gleich 13 erreicht wird, wird ein Reset der 
MSR-Einrichtung ausgelost. 
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[0037] Zur Priifung dcr korrckten Funktion dcs Uberwa- 
chungsmoduls 3 streut die MSR-Einrichtung 2 bei einem 
entsprechenden Zahlerstand des Fehlerzahlers 4 gezielt faU 
sche Antworten ein, um zu prufen, ob und inwieweit das 
Uberwachungsmodul 3 falsche Antworten erkennt und des- 
sen Fehlerzahler 4 cntsprechend diescr Antworten richtig 
zahlt. Da systembedingt der MSR-Einrichtung der aktuelle 
Stand des Zahlers 4 nur bei beispielsweise jeder 32. Frage- 
Antwort-Kommunikation (Kommunikationsrahmen) be- 
kannt wird, wird der Fehlerzahler 14 in der MSR-Einrich- 
tung dazu verwendct, intern in der MSR-Einrichtung ein 
Abbild des Fehlerzahlers 4 mitzuzahlen. Der Fehlerzahler 
14 enthalt daher den sogenannten Erwartungswert des Feh- 
lerzahlers 4. Meldet das Uberwachungsmodul 3 anstelle der 
32. Frage im Zyklus den Stand seines Fehlerzahler 4, dann 
vcrgleicht die MSR-Einrichtung den Erwartungswert, d. h. 
den Zahlwert des Fehlerzahlers 14, init dem gemeldeten 
Wert, also dem Zahlwert des Fehlerzahlers 4. Stimmen diese 
beiden Zahlwerte nicht uberein, wird der dritte Fehlerzahler 
24 um drei Punkte erhoht. Bei Ubereinstimmung wird der 
Zahlwert des Fehlerzahlers 24 um 1 erniedrigt. 
[0038] Stets zu berucksichtigcn bei Systcmen zur t)bcr- 
wachung von MSR-Einrichtungen sind Fehlertoleranzzei- 
ten. Im vorliegend beschriebenen Ausfuhrungsbeispiel ist 
das Uberwachungskonzept in drei Ebenen hierarchisch auf- 
gebaut, wobei die erste Ebene von der MSR-Einrichtung 2 
gebildet wird, welche von der zweiten Ebene, einer internen 
und nicht im einzelnen dargestellten softwaremaBigen Ober- 
priifung uberwacht wird. Die dritte Ebene, welche im we- 
sentlichen durch das Uberwachungsmodul 3 uberwacht 
wird, dient zur Uberwachung der zweiten Ebene, d. h. der 
Hardware, mittels welcherdie Software uberwachung imple- 
menliert ist. 

[0039] Kommt es - gemaB einer ersten Fallkonstellation - 
zu einem Fehler in der ersten Ebene, d. h. der MSR-Einrich- 
tung, hangt die Toleranzzeit von der Reaktionsgeschwindig- 
keit der zweiten Ebene, d. h. der internen Softwareuberwa- 
chung, ab, welche zweckmaBigcrweise dirckten Zugriif auf 
die Endstufen der MSR-Einrichtung hat. 
[0040] Ein derartiger Zugriffspfad uber einen Rechnerpin 
tragt typischerweise den Namen "PEN" (= Power ENable) 
und schaltet beispielsweise die Aktuatorik eines angeschlos- 
senen Motors hochohmig. 

[0041] Ein weiterer Fall bcsteht darin, daB ein Fehler in 
der Rechnerhardware (MSR-Hardware) auftritt, so daB der 
Fehler iiber die dritte Ebene erkannt werden muB. 
[0042] Ein Hardwarefehler fuhrt zu einer falschen Ant- 
wort der MSR-Einrichtung. In diesem Fall erkennt das 
Uberwachungsmodul 3 die falsche Antwort und wiederholt 
beispielsweise die falsch beantwortete Frage, bis die Ant- 
wort richtig ist. Obersteigt der Fehlerzahler 4 hierbei seine 
Reaktionsschwelle, bevor die Frage richtig beantwortet ist, 
lost das Uberwachungsmodul 3 einen Reset der MSR-Ein- 
richtung 2 aus. Die Fehlertoleranzzeit hangt nun davon ab, 
wie viele falsche Antworten eintreffen miissen, damit der 
Fehlerzahler 4 die Reaktionsschwelle uberschreitet. Bei ei- 
nem Stand des Fehlerzahlers von 0 sind das beispielsweise 
funf falsche Antworten in Folge, um die beispielhaft ge- 
wahlte Schwelle von 13 zu uberschreiten. Fur den Fall, daB 
jcdc Frage- An twort-Kom muni kali on typischerweise 40 nis 
dauert, ergibt sich hier eine Reaktionszeit'von etwa 200 ms 
des Uberwachungsmoduls. 

[0043] Da in der MSR-Einrichtung mittels des Fehlerzah- 
lers 14 ein Abbild des Fehlerzahlers 4 mitgeschrieben wird, 
kann der Fehlerzahler 4 durch geziclte falsche Antworten 
beeinfluBt werden, um ihn naher an der Reaktionsschwelle 
zu halten. Dadurch tritt abcr cine unbekannte GroBc in den 
Vordergrund, namlich das Auftreten von sogenannten "spo- 



radischen Fehlern". Dies sind Fehler, die zufallig aufgrund 
von meist auBeren Einfliissen auftreten und unvorhersehbar 
sind. Das Uberwachungsmodul erkennt auf falsche Antwort 
und erhoht seinen Fehlerzahler 4. Diese Fehler konnen na- 

5 turlich nicht im Erwartungswert des Zahlers 14 mitprotokol- 
licrt werden, da die MSR-Einrichtung von einer richtig gc- 
sendeten Antwort ausgeht. Diese Unstimmigkeiten werden 
bei der Riickmeldung des Fehlerzahlers 4 anstelle jeder 32. 
Frage entdeckt und fuhren zu einer Erhohung des Zahler- 

10 standes des Zahlers 24. 

[0044] Seltene sporadisch auftretende Fehler sollten nicht 
zu einem Reset des Systems fuhren, wenn hierdurch Beein- 
trachtigungen fiir den Benutzer auftreten. Diese Bedingung 
schrankt naturlich die Moglichkeiten einer Verkiirzung der 

15 Fehlertoleranzzeit iiber die "Niveauregelung" des Fehler- 
zahlers in der MSR-Einrichtung ein. Haufige sporadische 
Fehler sollten jedoch zu keinem Reset fuhren, wobei hier als 
Beispiel EMV-verseuchte Hochspannungsleitungen zu nen- 
nen sind, welche einen sicheren Betrieb nicht gewahrleisten 

20 konnen. 

[0045] Anhand eines Beispiels soli die MaBgabe erlautert 
werden, daB ein seltener sporadischer Fehler nicht zu einem 
sofortigen Systemreset fuhren soli: Dies bedeutet, daB der 
Zahler 4 trotz der eingestreuten falschen Antworten hoch- 

25 stens den Zahlerstand 10 erreichen darf: Fehlerzahler = 10 
— ► richtige Antwort — ► Fehlerzahler = 9 — * richtige Antwort 
— ► Fehlerzahler = 8 — * richtige Antwort — ► Fehlerzahler = 7 
— ^ gezielte falsche Antwort — »- Fehlerzahler = 10 — ► . . . 
[0046] Das Auftreten eines sporadischen Fehlers erhoht 

30 den Zahlerstand des Zahlers 4 um drei Punkte, d. h. dies 
wiirde zu einem Zahlerstand von 13 fuhren. Die langste Zeit 
bis zur Reaktion dauert bei einem Fehlerzahlerstand von 7 
die Dauer von drei falschen Antworten, d. h. 3 x 40 ms = 
120 ms. 

35 [0047] Da der Zahler 14 in der MSR-Einrichtung nur nach 
jedem 32. Kommunikationsrahmen mit dem wahren Stand 
des Zahlers 4 in dem Uberwachungsmodul 3 abgeglichen 
werden kann, darf innerhalb dieser Zeit nur ein sporadischer 
Fehler auftreten, da damit die Reserve fiir dicsen Zeitraum 

40 aufgebraucht ist. Deshalb durfen sporadische Fehler nur im 
minimalen Abstand von 31 Rahmen = 31 x 40 ms = 1,24 s 
auftreten, ansonsten losen sie einen (ungewollten) Reset 
aus. Sollen zwei sporadische Fehler innerhalb einer Zeit von 
1,24 s zulassig scin, erhoht sich die maximal vorkommende 

45 Toleranzzeit auf 160 ms (Zulassigkeit einer zusatzlichen fal- 
schen Antwort). Zur Beurteilung der Haufigkeit des Auftre- 
tens von sporadischen Fehlem sind Erprobungen im realen 
System notwendig. 

[0048] Zur Verringerung der Gefahr eines Resets au fgrund 
50 von sporadischen Fehlern kann die "Niveau-Regulierung" 

des Zahlerstandes des Fehlerzahlers 4 fahrsituationsabhan- 

gig vorgenommen werden. Wie das "Zahlerniveau" ,am giin- 
^ stigsten reguliert wird, hangt von verschiedenen Randbedin- 

gungen (geforderte Toleranzzeit, geforderte Storungsemp- 
55 findlichkeit usw.) ab und muB ebenfalls im realen System er- 

probt werden. 

[0049] Es sei darauf hinge wiesen, daB im Uberwachungs- 
modul 3 der RAM-Test als Beschreibbarkeitsprufung ausge- 
fiihrt. sein kann, so daB sich ein sogenannter "schlafender 

60 Fehler" bilden kann. Solite im Fehlerzahler 4 ein Bilkipper 
einen zu niedrigen Wert verursachen, dann kann die Strate- 
gic der "Niveau-Regulierung" versagen. 
[0050] In einem dritten Fall kann die Kommunikation aus 
unbekannten bzw. beliebigen Griinden abbrechen, so daB 

65 das tJberwachungsmodul 3 nach z. B. 10,51 ms auf Time ~ 
Out der Antwort erkennt und die Endstufen der MSR-Ein- 
richtung abschaltet und einen Reset auslost. Im ungiinstig- 
sten Fall muB noch die Zeit fiir das Stellen einer Frage ein- 
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gerechnet wcrden, das sind beispiclsweise 100 ms, so daft 

insgesamt mil einer Verzogerungszeit von 20,51 ms im 

schlechtesten Fall gerechnet werden muB. 

[0051] Das erfindungsgemaBe Verfahren wird nun noch 

einmal beispielhaft anhand der Diagramme der Fig. 4 und 5 5 

crlautert. 

[0052] In diesen Diagrammen stellt die x-Achse die Zeit 
(unterteilt in einzelne Zyklen), und die y-Achse den Zahler- 
stand des Zahlers 4 dar. 

[0053] In der Fig. 4 sind 3 spezielle, noch im einzelnen zu 10 
erlauternde Zahlcrstande eingezeichnet. Bci dem Zahler- 
stand 13 handelt es sich um einen Schwellwerts, welcher 
nicht uberschritten werden darf. Im Falle eines Uberschrei- 
tens dieses Schwellwerts kommt es zu einem Reset bzw. ei- 
ner Fehlerreaktion des Systems bzw. des Zahlerstandes. Auf 15 
dem Zahlers land 7 ist cin Zahlemiveau A, und auf dem Zah- 
lcrstand 1 ein Zahlemiveau B eingezeichnet. Hiermit soli 
verdeutlicht werden, daB gemaB einer bevorzugten Ausfuh- 
rungsform des erfindungsgemaBen Verfahrens ein unter dem 
Schwellwert liegendes zweites Zahlemiveau variierbar ist. 20 
GemaB der in Fig. 4 dargestellten Ausfuhrungsform ist das 
Zahlemiveau B (Zahlerstand 1) aktiv, d. h. es ist ein Absin- 
ken des Zahlerstandes bis auf den Wert 1 moglich, bevor 
eine kunstlich eingestreute falsche Antwort den Zahlerstand 
um den Wert 3 erhoht (siehe Pfeil P). Man erkennt, daB bei 25 
einem Schwellwert von 13 und einem unteren moglichen 
Zahlerstand von 1 bis zu 4 Fehler toleriert werden, ohne daB 
es zu einer Fehlerreaktion bzw. einem Reset des Systems 
kommt. Mit der Einstellung dieser Parameter hat das System 
eine hohe Verfugbarkeit und hohe Toleranz, und gleichzeitig 30 
eine relativ lange Reaktionszeit. Im Ausfuhrungsbeispiel 
der Fig. 4 betragt eine typische Reaktionszeit R 4 Zyklen. 
Beispielhaft sind 4 Fehlerereignisse rnittels Blitzpfeilen dar- 
gestellt, deren Auftreten an einem Zeitpunkt t F zu einem Re- 
set (nicht dargestellt) fuhrt, da im Punkt y(t F ) der Schwell- 35 
wert uberschritten ist. 

[0054] Anhand der Fig. 5 wird nun verdeutlicht, wie eine 
kurzere Reaktionszeit erzielbar ist. 

[0055] Man erkennt, daB gemaB der Ausfuhrungsform der 
Fig. 5 das Zahlemiveau A mit dem Zahlerstand von 7 aktiv 40 
ist. D. h., ein Absinken des Zahlerstandes unter den Wert 7 
wird nicht zugelassen. Es folgt, daB gemaB dieser Ausfuh- 
rungsform typischerweise lediglich ein Fehler toleriert wird, 
bevor es zu einer Fehlerreaktion durch Errcichcn des 
Schwellwertes 13 kommt. Die Reaktionszeit R betragt hier 45 
lediglich zwei Zyklen. Zur Veranschaulichung sind wie- 
derum Blitzpfeile sowie die Punkte tp und y(tp) dargestellt. 
[0056] Es sei schlieBlich angemerkt, daB es auch moglich 
ware, den Schwellwert variable auszubilden. In diesem Fall 
konnte auch eine variable Ausbildung des unteren Zahlerni- 50 
veaus verzichtet werden. 

Patentanspriiche 

1. System zur Uberwachung einer Einrichtung (2) zum 55 
Messen, Steuem und Regeln, welches eine Uberwa- 
chungsvorrichtung aufweist, welche die Funktions- 
weise der Einrichtung (2) uberpruft, dabei Fehlfunktio- 
nen der Einrichtung (2) feststellt und den Beiriebszu- 
stand der Einrichtung (2) beeinflusscn kann, dadurch 60 
gekennzeichnet, daB wenigstens ein Zahler (4, 14, 24) 
vorgesehen ist, wobei das Feststellen einer Fehlfunk-. 
tion einen Zahlerstand des wenigstens einen Zahlers er- 
hoht und daB die Beeinflussung des Betriebszustandes 
der Einrichtung (2) in Abhangigkeit vorn Zahlerstand 65 
des wenigstens einen Zahlers durchfiihrbar ist. 
> 2. System nach Anspruch 1, dadurch gekennzeichnet, 
daB die Uberwachungsvorrichtung (3) die Funktions- 



weise der Einrichtung (2) durch in regelmaBigen zcitli- 
chen Abstanden durchgefiihrte Kommunikationsvor- 
gange zwischen Uberwachungsvorrichtung (3) und 
Einrichtung (2) uberpruft und jeder Kornmunikations- 
vorgang eine Fehlfunktion oder eine korrekte Funktion 
ergibt. 

3. System nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB das Feststellen einer korrekten Funktion 
eine Verringerung des Zahlerstandes des Zahlers (4) 
bewirkt. 

4. System nach eincrn der Anspriiche 1 bis 3, dadurch 
gekennzeichnet, daB der Zahlerstand unabhangig vom 
Auftreten von Fehlfunktionen zu beeinflussen ist. 

5. System nach einem der vorstehenden Anspriiche, 
dadurch gekennzeichnet, daB ein Zahlerstand des we- 
nigstcn einen Zahlers (4, 14, 24) mit einem Schwell- 
wert vergleichbar ist und bei Erreichcn oder Ubcr- 
schreiten des Schwellwertes ein Reset bzw. eine Feh- 
lerreaktion auslosbar ist. 

6. System nach Anspruch 5, dadurch gekennzeichnet, 
daB ein unterhalb des Schwellwertes liegendes zweites 
Zahlemiveau definierbar ist, welches der Zahlerstand 
des wenigstens einen Zahlers (4, 14, 24) nicht unter- 
schreiten darf, und bei Erreichen dessen eine kunstlich 
erzeugte Fehlfunktion, welche zu einer Erhohung des 
Zahlerstands fuhrt, in das System eingegeben wird. 

7. System nach Anspruch 6, dadurch gekennzeichneL, 
daB das zweite Zahlemiveau und/oder der Schwellwert 
variierbar ist. 

8. System nach einem der vorstehenden Anspriiche, 
gekennzeichnet durch einen der Uberwachungsvor- 
richtung (3) zugeordneten ersten Fehlerzahler (4) und 
einen der zu uberwachenden Einrichtung (2) zugeord- 
neten zweiten Fehlerzahler (14), wobei die ersten und 
zweiten Fehlerzahler periodisch zur Uberwachung des 
Systems uberprufbar und/oder miteinander vergleich- 
bar sind. 

9. System nach Anspruch 8, dadurch gekennzeichnet, 
daB der erste Fehlerzahler (14) zum Mitzahlcn eines 
Abbildes des Zahlerstandes des zweiten Fehlerzahlers 
(4) einsetzbar ist. 

10. System nach Anspruch 9, gekennzeichnet durch 
einen dritten Fehlerzahler (24), welcher zum Vergleich 
der Zahlcrstande der ersten und zweiten Fehlerzahler 
(4, 14) dient. 

11. Verfahren zur Uberwachung einer Einrichtung 
zum Messen, Steuem und Regeln, bei der die Funkti- 
onsweise der iiberwachten Einrichtung durch eine 
Uberwachungsvorrichtung uberpruft wird, auftretende 
Fehlfunktionen festgestellt werden und der Betriebszu- 
stand der iiberwachten Einrichtung beeinfluBt werden 
kann, dadurch gekennzeichnet, daB wenigstens ein 
Zahler (4, 14, 24) verwendet wird, dessen Zahlerstand 
beim Feststellen von Fehlfunktionen erhoht wird und 
die Beeinflussung des Betriebszustandes der iiber- 
wachten Einrichtung (2) in Abhangigkeit vom Zahler- 
stand durchgefuhrt wird. 

12. Verfahren nach Anspruch 11, dadurch gekenn- 
zeichnet, daB die Funktionsweise der Einrichtung (2) 
zum Messen, Steuem und Regeln durch in rcgelmaBi- 
gen zeitlichen Abstanden durchgefuhrte Kommunikati- 
onsvorgange zwischen Uberwachungsvorrichtung (3) 
und Einrichtung (2) ausgefuhrt wird, wobei jeder Kom- 
munikationsvorgang eine Fehlfunktion oder eine kor- 
rekte Funktion meldel .. 

13. Verfahren nach einem der Anspriiche 11 oder 12, 
dadurch gekennzeichnet, daB cine korrekte Funktion 
durch eine Verringerung des Zahlerstandes des Zahlers 
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(4, 14, 24) registriert wird. 

14. Verfahren nach einem der Anspruche 1 1 bis 13, da- 
durch gekennzeichnet, daB der Zahlerstand unabhangig 
vom Auftreten von Fehlfunktionen beeinfluBt werden 
kann. 5 

15. Verfahren nach einem der vorstehenden Ansprii- 
che 1 1 bis 14, dadurch gekennzeichnet, daB ein Zahler- 
stand des wenigsten einen Zahlers (4, 14, 24) mit einem 
Schwellwert verglichen wird, und bei Erreichen oder 
Uberschreiten des Schwellwertes ein Reset bzw. eine 10 
Fehlcrreaktion ausgelost wird. 

16. Verfahren nach Anspruch 15, dadurch gekenn- 
zeichnet, dal3 ein unterhalb des Schwellwertes liegen- 
des zweites Zahlerniveau definiert wird, welches der 
Zahlerstand des wenigsten einen Zahlers (4, 14, 24) 15 
nicht unterschreiten darf und bei Erreichen desscn eine 
kunstlich erzeugtc Fehlfunktion, welchc eine Erhohung 
des Zahlerstandes bewirkt, erzeugt wird. 

17. Verfahren nach Anspruch 16, dadurch gekenn- 
zeichnet, daB das zweite Zahlerniveau und/oder der 20 
Schwellwert zur Einstellung einer gewunschten Ver- 
fugbarkcit bzw. Rcaktionszcil variiert wird. 
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